【IT168 报道】安全信息管理可通过管理和应对安全应用程序所产生的极大量告警而自动执行削弱和消除网络威胁的过程。这样企业既能最大限度地降低潜在攻击的风险又能在攻击发生时快速作出响应。

    随着IT的快速发展，CIO对安全考虑的重要性已经到了最重要的位置。因此，原有的安全管理仅仅是对安全设备的简单配置管理已远远不能满足企业的实际需求，更广，更多的安全管理的理念和技术不断涌现，其中安全风险管理成为其中的一个重要发展方向，即从风险的角度去评估安全管理的流程，处理方式。但随着业务的开展，人们逐渐发现，安全风险管理能够执行的基础似乎有些欠缺，安全风险的评估不是简单的资产价值或预定义好的事件安全级别就可以准确描述的，相关事件的信息，发生的地方，什么事件发生的等等，都需要综合考虑，才能得出准确的安全风险评估数据，从而安全风险管理才得以执行下去。从这个意义上，安全风险管理的游戏规则在发生改变，以前重视对风险的评估和管理流程，而转向更具体，更实际的安全风险管理，即需要解决如下几个用户最关注的问题：

    为了解决这些问题，出现了安全信息管理（SIM）系统。SIM可以从不同厂商的多个设备接收日志数据，存储和管理所创建的大量文件，以及实现至少部分的数据证据分析，甚至可以做一定的安全威胁评估分析，发现发生了什么样的安全事件。但是，SIM技术仍然不能解决上述其他几个关键问题：

    • 什么地方发生了安全事件？ 安全事件发生的路径？
    • 如何快速处理和防护安全事件？SIM技术分析深度不够，不足以及时地阻止正在进行的网络攻击
    • 如何提供异常现象检测能力？如果通常的入侵检测技术和安全产品均不能识别某种新型的安全攻击手段
    • 如何轻松部署？对于企业用户来讲，复杂的安全管理技术和流程没有实际意义，最有效的就是如何以尽量少的投资解决问题，并容易操作

    在SIM之后，出现了一种新型的技术STM（安全威胁管理），注重在提高网络感知能力和加快分析速度，以发现实际的网络攻击并近乎实时地制止这些攻击，同时可以通过对网络流量模型的分析，提供异常检测的能力，自动执行目前大部分由安全分析人员完成的工作，简单易用。

    STM - 安全威胁管理技术

    STM技术需要监控网络中的各种安全和网络产品产生的多种日志和报告流量，精简庞杂的网络事件信息，为网络操作人员提供监控和阻止网络攻击所需要的信息：
    • 端到端的网络拓扑感知能力
    • 高效能进程化TM和基于进程的主动关联TM
    • 集成化的动态主机脆弱性分析和精确跟踪TM

    STM必须从全面感知网络拓扑开始。随着动态主机配置协议（DHCP）和网络地址解析（NAT）的广泛采用，必须知道这些协议在哪里创建了网络地址，以便当某个攻击的源和目的地地址发生变化时继续加以跟踪。而且，简单网络管理协议（SNMP）的使用在设备的IP地址和它的固定硬件MAC地址之间提供了映射，使可以准确地识别网络路径上的某个设备。MARS设备可以使用来自于路由器、交换机和其他计算机的完整配置信息，以及来自于安全设备的信息建立网络的完整视图。

    STM技术首先从安全设备和网络组件接收网络事件，将事件信息与它的网络感知能力结合到一起，发现网络攻击活动集中的“热点”，并且可以显示攻击终端之间的网络路径, 随后提供操作人员为阻止危险流量提供适当的设备配置信息。

图1 从网络事件到攻击制止

    图1（从上往下读图）显示了STM技术用于减少原始网络事件数据量和制止网络攻击的逻辑流程：
    1. 网络上的多个设备――不仅包括安全设备（防火墙和IDS），还包括网络设备（路由器和交换机）和终端系统（服务器）――发送日志和网络信息。在一个典型的网络中，在流量高峰时段可能会在一秒钟内产生数千个事件，或者每天产生数百万个事件。同时从路由器和交换机采集NetFlow数据，从而获得网络性能和记账数据, 并与取得的事件数据相关联。
    2. 采集的NetFlow数据可以识别异常网络流量，例如流量等级的突变，从而判断异常安全事件。
    3. 进程化TM利用网络拓扑感知功能将多个事件汇总成端到端的进程。图2显示了一个典型的进程，其中有三个网络设备（防火墙、网络IDS[NIDS]设备和一个交换机中的刀片式NIDS）报告事件。注意，网络地址在攻击路径中发生了变化，而NAT感知功能对于关联不同的事件具有重要的意义。

    4. 基于进程的主动关联TM可以利用内置的和用户定义的规则，将关于多个进程的信息与获取的NetFlow数据关联到一起，以发现可能的完整网络攻击（简称攻击）。
    5. 对于每个可能的攻击，STM技术可以实施自动的脆弱性扫描。这包括检查攻击是否成功到达目标（它可能会被某个防火墙或者服务器中的主机IDS阻截），以及目标是否的确可能遭受攻击（它的操作系统可能不会遭受这种攻击的影响）。自动脆弱性扫描会使用关于终端系统的信息发现误报，制定规则以减少将来对可能攻击的分析和处理。
    6. STM将实际的攻击通知操作人员，并告知上述制止方法。精确跟踪TM可以自动搜集主机信息（准确到MAC地址级别），获得关于实际事件的完整信息。实际上，每天数百万个事件可能会精简到数十个攻击――一个操作人员就足以对这些事件进行解读和处理。
    7. STM为分析人员提供一定数量（可设置）的事件，由其确定它们是真正的攻击还是误报。只需做出一个决定，用户就可以识别误报，迅速减少事件的数量。通过将所有这些调节功能集中到设备，用户需要对每个设备进行调节，并且可以将所有事件细节保存到设备的数据库中。没有任何细节会丢失，用户稍后可能需要对它们进行分析。

图2 进程化TM

    作为上述流程STM的典型例子，请参考图2中的箭头所显示的攻击路径。图中所示的网络拓扑只是整个网络的一小部分。之所以选择这个部分是因为它可以显示整个攻击路径。各个网络事件会被记录在三个节点：交换机中的刀片式NIDS，防火墙，以及监控防火墙和目标之间的网络的NIDS设备。STM接收这些事件，并利用它在不同节点的网络拓扑和NAT感知能力将这些事件汇总为单个进程。在图2中，注意攻击的目的地地址被防火墙的NAT更改。STM将防火墙两侧的事件识别为同一个进程的不同部分――尽管存在不同的地址。

         
图3：SIM和STM技术的对比

    图3对比了现有的SIM技术和STM技术的区别。第一代SIM关注于处理大量的安全日志数据，可以为证据分析提供少量的分析工具。第二代SIM提供了更多的分析工具，但是它的长处在于更好地了解过去发生的事件，而不是正在发生的情况。STM添加了很多新的分析层次，关注于降低需要处理的数据量和及时地制止网络安全攻击，异常显现发现等。

    STM技术可以利用网络级智能，关联来自于不同的网络基础设施设备的安全事件数据，提供攻击来源和受影响系统的图形化视图，并且为制止攻击提供专家级的实时配置建议。这不仅可以帮助组织迅速地响应安全威胁，还让安全人员可以分析大量的安全事件，从而降低网络运营成本，让运营商管理人员可以提高生产率，更加迅速地响应安全事件，为他们在最关键的时刻以一种少有的方式分析不断变化的网络提供了重要的工具。

    安全风险管理其中一个重要的部分就是STM技术的更加完善，将安全管理的理论付诸实践，真正解决用户最关心的安全问题，我们期待着这天的到来。